控制自评估讲义.pdf

控制自我评估控制自我评估(CSA)走入中国的脚步走入中国的脚步.谈亮2004年9月19日 2004 Deloitte.课程目标课程目标 了解控制自我评估(CSA)的历史沿革、基本概念 详细介绍CSA的方法论 介绍实施CSA中的重要注意事项 介绍CSA在萨宾法案浪潮中的重要作用 为与会者提供结合CSA的案例、提供互相交流的舞台 2004 Deloitte.课程内容课程内容1 1CSA的诞生和历史沿革CSA的诞生和历史沿革2 2CSA的方法和流程CSA的方法和流程3 3萨宾法案与CSA萨宾法案与CSA4 4案例分析案例分析 国外国外5 5案例分析-国内(宝钢)案例分析-国内(宝钢)6 6提问与交流提问与交流CSA的诞生和历史沿革的诞生和历史沿革 2004 Deloitte.CSA的诞生CSA的诞生 在1986-87年，在加拿大西南部的一个城市，卡尔加里市,加拿大海湾石油(Gulf Canada Resources Ltd)的内部审计部门开创了一个崭新而简单的新思维：不是在内审过程中与被审计对象一对一的面谈，而是与一堆人一快儿进行讨论。为什么？有何不同？省时间，提高效率参与实际业务的员工在一起，增加信息可靠性当场共同得出有经过讨论的结果、建议和改进方案，创造部门内和部门间交流的障碍 2004 Deloitte.CSA的发展沿革CSA的发展沿革 在十年之后，到1996年的首届CSA年会，已经有大约600家公司代表。这个数字比起国际内审协会（IIA）的会员单位数量来说还很小，但是已经是一个可喜的进步 随着公司全球化的浪潮，许多跨国公司开始采用CSA来了解其海外机构和子公司的内部控制状况，并和其月度财务管理报表同等看待 许多CSA是基于国际互联网络的风险控制问卷系统，当地管理层填列以后，由总部在线阅览和审核，节省了许多异地审计的成本,这类的系统比如 CSAe,RCTS等等 在2002年萨班斯奥克斯利法案出台以后，CSA再次迎来了其大发展的春天。为了满足萨班法案、同时追求成本效益原则的许多在美国上市公司，针对其海外的子公司采用CSA的方式，取得对各子公司的内部控制系统的书面描述；并辅以验证性内部审计。2004 Deloitte.何谓控制自我评估何谓控制自我评估内部控制自我评估(Control Self-Assessment,简写成CSA)是一个对企业内部控制的效力进行检查和评价的过程，其目标是为企业实现所有经营目标提供合理的保证。内部控制自我评估(Control Self-Assessment,简写成CSA)是一个对企业内部控制的效力进行检查和评价的过程，其目标是为企业实现所有经营目标提供合理的保证。复核主要经营目标复核主要经营目标 识别在达成经营目标过程中存在的风险识别在达成经营目标过程中存在的风险 对内部控制防范风险的效力进行评估对内部控制防范风险的效力进行评估 2004 Deloitte.CSA的核心要素CSA的核心要素根据国际内审协会资助的CSA研究报告，一个完整的CSA通常需要具备以下几个核心要素：事先的详细计划和初步审计工作 在一个特定的时间和空间聚集一群业务流程的“所有者”基于良好的风险控制模型的讨论大纲；有一个富有经验的主持者领导大家共同讨论 共同研讨、编写报告，包括针对发现问题的改进建议 2004 Deloitte.CSA的优点CSA的优点对于参与CSA项目的员工对于参与CSA项目的员工 员工觉得被尊重，有参与感：员工觉得被尊重，有参与感：“管理层在听我说管理层在听我说”参与实际业务的员工往往拥有独特的专业技术和背景，CSA可以释放员工的主动性，更加有效的得出结论参与实际业务的员工往往拥有独特的专业技术和背景，CSA可以释放员工的主动性，更加有效的得出结论 员工员工“拥有拥有”经过讨论得出的结果经过讨论得出的结果，包括需要改进的空间以及更为积极参与改进方案的实施，包括需要改进的空间以及更为积极参与改进方案的实施 对于目标/风险/控制的更深入的理解对于目标/风险/控制的更深入的理解 打破交流的障碍，改进员工间的工作关系打破交流的障碍，改进员工间的工作关系 2004 Deloitte.对于公司和管理层对于公司和管理层 得到了来自第一线员工的风险和控制的反馈，增强了管理层的信心；降低了潜在的处理内部争议的成本；同时也减少了外部审计的成本得到了来自第一线员工的风险和控制的反馈，增强了管理层的信心；降低了潜在的处理内部争议的成本；同时也减少了外部审计的成本 CSA是处理需要较多主观性判断的问题的最好途径CSA是处理需要较多主观性判断的问题的最好途径对于公司内审部门对于公司内审部门 对内审部门而言，CSA减少了现场工作时间对内审部门而言，CSA减少了现场工作时间 较好的保证内审人员有精力关注高风险的领域较好的保证内审人员有精力关注高风险的领域 来自被审计人员的理解和认同来自被审计人员的理解和认同CSA的优点（续）CSA的优点（续）2004 Deloitte.课程内容课程内容1 1CSA的诞生和历史沿革CSA的诞生和历史沿革2 2CSA的方法和流程CSA的方法和流程3 3萨宾法案与CSA萨宾法案与CSA4 4案例分析案例分析 国外国外5 5案例分析-国内(宝钢)案例分析-国内(宝钢)6 6提问与交流提问与交流CSA的方法和流程的方法和流程 2004 Deloitte.CSA核心CSA核心控制目标控制目标控制目标控制目标定义风险定义风险定义风险定义风险现行做法是否现行做法是否现行做法是否现行做法是否存在改进空间？存在改进空间？存在改进空间？存在改进空间？集思广益的改进方案集思广益的改进方案集思广益的改进方案集思广益的改进方案整个团队对于整个团队对于整个团队对于整个团队对于问题的共识和认知问题的共识和认知问题的共识和认知问题的共识和认知 2004 Deloitte.内部控制自我评估(CSA)的标准流程内部控制自我评估(CSA)的标准流程 2004 Deloitte.计划计划关键词 评什么？(高风险的领域是什么？)怎么评？(CSA的方式？控制目标？)谁参加？(研讨会人员？谁主持？)何时评？(项目工作计划？)2004 Deloitte.风险框架的建立风险框架的建立关键词 如何组织风险和控制？(风控框架)现有的业务流程？风险和关键控制点？2004 Deloitte.研讨会研讨会关键词 培训 匿名问卷 开放、封闭原则 改进计划 2004 Deloitte.报告和改进报告和改进关键词 改进计划 共同通过 自我撰写15完成行动计划，确定改进的任务17向管理层汇报讨论会结果和改进行动计划16根据讨论会结果起草内控自我评估报告；提交讨论会与会人员作修改和订正18内控自我评估报告正式定稿 2004 Deloitte.总结总结关键词 管理层沟通 持续监控 现有流程的适当变更19向管理层递交正式报告和改进行动计划20建立持续监控计划21执行后续的内控改进计划22按需要更新现有的流程图和政策规章 2004 Deloitte.CSA开展的方式CSA开展的方式CSA 的开展方式主要包括：CSA 的开展方式主要包括：访谈（Interviews）访谈（Interviews）内控评估问卷（Questionnaires）内控评估问卷（Questionnaires）内控自评小组研讨会（Workshops）内控自评小组研讨会（Workshops）2004 Deloitte.多种CSA方式的优缺点比较多种CSA方式的优缺点比较 访谈优点节省被访谈者时间保密没有集体观点深入问题开放式问题高回答率缺点无培训效果缺乏匿名没有团队协作无法当场证实增加审计时间记录访谈优点节省被访谈者时间保密没有集体观点深入问题开放式问题高回答率缺点无培训效果缺乏匿名没有团队协作无法当场证实增加审计时间记录访谈 2004 Deloitte.多种CSA方式的优缺点比较(续)多种CSA方式的优缺点比较(续)内控评估问卷优点对被访者而言是高效的保密匿名性增加避免集体观点运用多种样式的问卷直接的答案建立基线更好的聚焦审计缺点填表培训没有团队协作证实深入问题真实性优点对被访者而言是高效的保密匿名性增加避免集体观点运用多种样式的问卷直接的答案建立基线更好的聚焦审计缺点填表培训没有团队协作证实深入问题真实性/增加审计时间书面工作增加审计时间书面工作/分析低回答率典型样本分析低回答率典型样本 2004 Deloitte.多种CSA方式的优缺点比较(续)多种CSA方式的优缺点比较(续)内控自评小组研讨会优点优点团队协作团队协作真实性员工的专业知识深入问题真实性员工的专业知识深入问题开放的沟通快速员工主人公意识开放的沟通快速员工主人公意识缺点协调人员培训后勤缺乏匿名集体观点增加准备时间信息量管理层的参与涉及敏感问题缺点协调人员培训后勤缺乏匿名集体观点增加准备时间信息量管理层的参与涉及敏感问题 2004 Deloitte.CSA的四种形式CSA的四种形式 基于控制目标的自评：识别最佳的控制技术是否已被用于达成控制目标，并且有效的将风险控制在可接受的范围。基于风险的自评：关注风险的识别和管理，检查现有控制活动是否足够用于防范关键风险，识别剩余风险以寻求控制活动的改进措施。基于控制的自评：关注控制运行的情况，分析实际运行情况与初始设计的差距。基于流程的自评：通过检查现有控制，对流程进行评估、更新和优化。2004 Deloitte.CSA使用的控制模型CSA使用的控制模型 为何要使用模型：提供标准化、结构化的自我评估框架 帮助建立比较和打分基本规则 提供提高参与者对内部控制认知的工具 大部分的模型具有可塑性，可以符合您公司的要求 COSO COSO www.theiia.orgwww.theiia.org 美国的内控风险模型 最广泛运用的模型，随着萨班法案的出台其全球接受程度得到更广泛的提升 主要核心是五层：控制环境、风险评估、控制活动、监控、和信息沟通 CoCo-CoCo-www.canadianenterprises.org/cicawww.canadianenterprises.org/cica 加拿大的内控风险模型 核心为四层：目的、承诺、能力、监控和学习 2004 Deloitte.控制环境业务活动1业务活动 2事业部2事业部1控制环境业务活动1业务活动 2事业部2事业部1营运效率与效果营运效率与效果财务数据的可靠性对法令和合约承诺之遵循财务数据的可靠性对法令和合约承诺之遵循风险评估控制活动信息与沟通监督风险评估控制活动信息与沟通监督?1985年，由美国注册会计师协会、美国审计总署、内部审计师协会、金融管理学会等年，由美国注册会计师协会、美国审计总署、内部审计师协会、金融管理学会等5家机构共同赞助成立了全国舞弊性财务报告委员会家机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting-TreadwayCommission)，通称，通称Treadway委员会。委员会。?Treadway委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。?1992年，年，COSO提出了内部控制整体框架报告，并在提出了内部控制整体框架报告，并在1994年进行了增补，这就是现代通称的年进行了增补，这就是现代通称的COSO模型模型COSO模型简介COSO模型简介 2004 Deloitte.COSO下的控制模型COSO下的控制模型 销售 采购 存货管理业务流程业务流程 2004 Deloitte.COSO下的控制模型(续)COSO下的控制模型(续)业务流程业务流程主要业务活动主要业务活动主要业务活动主要业务活动:EX10:采购订单采购订单EX20:到货报关处理到货报关处理EX30:应付账款应付账款EX40:供应商资料维护供应商资料维护 销售 采购 存货管理 2004 Deloitte.COSO下的控制模型(续)COSO下的控制模型(续)业务流程业务流程主要业务活动主要业务活动主要业务活动主要业务活动:EX10:采购订单采购订单EX20:到货报关处理到货报关处理EX30:应付账款应付账款EX40:供应商资料维护供应商资料维护控制目标控制目标控制目标:EX1015:订单基于得到批准的采购申请EX1025:订单被准确的制作EX1035:所有的客户要求都及时地成为订单.销售 采购 存货管理 2004 Deloitte.COSO下的控制模型(续)COSO下的控制模型(续)业务流程业务流程主要业务活动主要业务活动主要业务活动主要业务活动:EX10:采购订单采购订单EX20:到货报关处理到货报关处理EX30:应付账款应付账款EX40:供应商资料维护供应商资料维护控制目标:EX1015:订单基于得到批准的采购申请EX1025:订单被准确的制作EX1035:所有的客户要求都及时地成为订单.控制活动:1.对非业务采购制作采购申请单，经总经理审批后才开始制作订单2.对业务采购业务员根据来自客户的书面确认的销售订单制作采购订单，经销售经理审批控制目标控制目标控制活动控制活动 销售 采购 存货管理 2004 Deloitte.控制问卷控制问卷风险程度现行控制活动风险程度现行控制活动12差距分析改进方案差距分析改进方案3COSO模型下的CSA工作范围示例COSO模型下的CSA工作范围示例 区域1：应当在计划阶段需要完成的部分。区域2：应当在研讨会前使用匿名问卷的手段完成的部分。区域3：应当在研讨会上达成一致的部分 2004 Deloitte.研讨会注意事项研讨会注意事项一个成功的CSA研讨会是多方面因素共同作用的结果一个成功的CSA研讨会是多方面因素共同作用的结果 后勤工作后勤工作关注与会者的组成关注与会者的组成 会前准备会前准备 一个好的主持人一个好的主持人 参与人员的培训参与人员的培训 CSA进程结构CSA进程结构 团队动力团队动力 管理哲学和文化环境管理哲学和文化环境 CSA的实践经验CSA的实践经验 2004 Deloitte.研讨会注意事项对主持人员的一些建议研讨会注意事项对主持人员的一些建议 会前宣布规则会前宣布规则开放、封闭的环境开放、封闭的环境 营造生动幽默的氛围营造生动幽默的氛围 在完成CSA的所有流程后，确保所有参与者都接受和理解评估的结果在完成CSA的所有流程后，确保所有参与者都接受和理解评估的结果 研讨会主持人成功的关键在于善于倾听，而并非提出见解；研讨会主持人成功的关键在于善于倾听，而并非提出见解；主持人应当较为熟悉讨论对象的流程，同时也要求一定的控制/风险/目标方面的经验；主持人应当较为熟悉讨论对象的流程，同时也要求一定的控制/风险/目标方面的经验；尽管主持人需要在研讨会中发言，但其主要贡献在于鼓励所有的与会者发表各自的见解；尽管主持人需要在研讨会中发言，但其主要贡献在于鼓励所有的与会者发表各自的见解；当与会人员有偏题的倾向时，主持人应当会巧妙的把出轨的话题拉入正轨当与会人员有偏题的倾向时，主持人应当会巧妙的把出轨的话题拉入正轨 一个好的主持者常具备这些素质：全情投入、多面 手、在台上表现自如、从讨论中提炼有用信息的能力。一个好的主持者常具备这些素质：全情投入、多面 手、在台上表现自如、从讨论中提炼有用信息的能力。2004 Deloitte.控制自我评估师认证Certification in CSA(CCSA)控制自我评估师认证Certification in CSA(CCSA)一个CSA项目的主持人最理想的是可以通过国际内审协会举办的CCSA认证考试 该考试现在已由我国内审协会引进中国 考试主要内容：基础知识 5-10%CSA流程 15-25%CSA的关键要素 15-25%业务目标和组织的业绩 10-15%风险识别和评估 15-20%控制的理论和运用 20-25%2004 Deloitte.课程内容课程内容1 1CSA的诞生和历史沿革CSA的诞生和历史沿革2 2CSA的方法和流程CSA的方法和流程3 3萨宾法案与CSA萨宾法案与CSA4 4案例分析案例分析 国外国外5 5案例分析-国内(宝钢)案例分析-国内(宝钢)6 6提问与交流提问与交流萨宾法案与萨宾法案与CSA 2004 Deloitte.职责与机遇职责与机遇萨班斯奥克斯利萨班斯奥克斯利法案法案安然安然 世通世通 施乐等公司不正当会计处理事件后企业失信现状施乐等公司不正当会计处理事件后企业失信现状挽回公众对证券交易市场的信任和信心改善公司治理，加强商业行为的道德约束提高财务报表和相关披露的透明度和完整性确保公司管理层被告知公司经营的重要信息，并确保这些信息来自一个良好的控制环境确保公司管理层对递交证交会和向投资者披露的重要信息负有责任力争创造企业业绩的新高度 2004 Deloitte.萨班法案简介萨班法案简介法案影响在美上市企业的主要条款：法案影响在美上市企业的主要条款：萨班斯萨班斯-奥克斯利法案奥克斯利法案以恢复证券市场信赖为目的，以恢复证券市场信赖为目的，2002年年7月月30日设立 301条设立审计委员会 302条有关披露体制的改革：日设立 301条设立审计委员会 302条有关披露体制的改革：CEOCEOCFO具有宣誓财务报告真实完整的义务CFO具有宣誓财务报告真实完整的义务 404条评价内部控制，并成为年度报告的一部分：404条评价内部控制，并成为年度报告的一部分：CEOCEOCFO具有宣誓内部控制完备和执行有效的义务CFO具有宣誓内部控制完备和执行有效的义务 906条违反宣誓义务时的惩罚措施 等 906条违反宣誓义务时的惩罚措施 等 2004 Deloitte.萨班法案第302条款萨班法案第302条款CEO及CFO必须就20F（向SEC提交的年报）的下列事项，进行宣誓。CEO及CFO必须就20F（向SEC提交的年报）的下列事项，进行宣誓。?此年报真实准确、无重大记载错误及隐瞒事项（此年报真实准确、无重大记载错误及隐瞒事项（结果结果）?评价财务报表所涉及内部管理的有效性（评价财务报表所涉及内部管理的有效性（管理过程管理过程）发生问题时，经营者无权说不知道。发生问题时，经营者无权说不知道。20F（结果）20F（结果）20202020F F F F（结果结果结果结果）内部管理内部管理内部管理内部管理（管理过程管理过程管理过程管理过程）责任责任302302条款条款宣誓对结果及其管理过程管理过程负有责任。（从2003年9月提交的20F开始适用）责任责任责任责任 2004 Deloitte.萨班法案第404条款萨班法案第404条款每年，CEO/CFO制作与财务报告相关的内部控制和流程报告书、在接受每年，CEO/CFO制作与财务报告相关的内部控制和流程报告书、在接受【外部审计】【外部审计】的基础上、将其记载入年度报告中并宣誓的基础上、将其记载入年度报告中并宣誓20F（结果）20F（结果）20202020F F F F（结果结果结果结果）内部管理内部管理内部管理内部管理（管理过程管理过程管理过程管理过程）由外部审计师制作的内部管理审计报告由外部审计师制作的内部管理审计报告由外部审计师制作的内部管理审计报告由外部审计师制作的内部管理审计报告条条不得开具最终我来负责任！空头支票。不得开具最终我来负责任！空头支票。由外部审计人制作会计审计报告由外部审计人制作会计审计报告由外部审计人制作会计审计报告由外部审计人制作会计审计报告不仅就其结果接受审计，而且、就就就就管理过程也要每期接受审计管理过程也要每期接受审计管理过程也要每期接受审计管理过程也要每期接受审计。（开始适用于2004年6月15日以后的财务年度结算日）2004 Deloitte.萨班法案第906条款萨班法案第906条款?第906条：美国刑法修正后，要求CEO和CFO有义务就下列事项进行宣誓。第906条：美国刑法修正后，要求CEO和CFO有义务就下列事项进行宣誓。?本报告完全遵照SEC规则本报告完全遵照SEC规则?本报告中，就所有重要事项进行了正确公示本报告中，就所有重要事项进行了正确公示?知情但进行虚假宣誓者、要处以最高100万美圆罚金及最长10年的监禁知情但进行虚假宣誓者、要处以最高100万美圆罚金及最长10年的监禁?有意进行虚假宣誓者、要处以最高500万美圆罚金及最长20年的监禁。有意进行虚假宣誓者、要处以最高500万美圆罚金及最长20年的监禁。非行政处罚非行政处罚非行政处罚非行政处罚、而是刑事处罚而是刑事处罚而是刑事处罚而是刑事处罚!去年3月18日，美国某最大健康保健品公司原财务总监Mr.Smith因涉及对财务报告宣誓书做虚假证明而成为违反违反萨班斯法而被捕的第萨班斯法而被捕的第萨班斯法而被捕的第萨班斯法而被捕的第1 1号人物号人物号人物号人物.其公司及CEO也被SEC起诉。（经营财务 2003年4月7日 10页）2004 Deloitte.萨班法案的就绪工作萨班法案的就绪工作所有在美上市的本国公司和外国公司的管理层必须所有在美上市的本国公司和外国公司的管理层必须 评价控制评价控制设计设计的有效性的有效性 评价控制评价控制执行执行的有效性的有效性 根据对重大缺陷和重大薄弱环节的定义，决定哪些控制可以满足要求根据对重大缺陷和重大薄弱环节的定义，决定哪些控制可以满足要求 记录下评价的结果记录下评价的结果 与实际业务操作人员沟通评价的结果，并寻求改进方案与实际业务操作人员沟通评价的结果，并寻求改进方案 2004 Deloitte.管理层应当意识到管理层应当意识到内部控制是用来管理从业务基层运作产生营运数据，保证其正确性的重要环节。所以，所有的相关部门均将参与其中，而绝不只是财务部门的事。内部控制是用来管理从业务基层运作产生营运数据，保证其正确性的重要环节。所以，所有的相关部门均将参与其中，而绝不只是财务部门的事。营运数据是各个部门的活动结果的反映，所以，每个部门会针对自己的业务负责。例如，在物流部门、销售部门和人事部门，他们会自行负责本部门内现有的各种手续、文书和控制活动；他们对本部门内的内部控制的设计和执行的有效性负责。营运数据是各个部门的活动结果的反映，所以，每个部门会针对自己的业务负责。例如，在物流部门、销售部门和人事部门，他们会自行负责本部门内现有的各种手续、文书和控制活动；他们对本部门内的内部控制的设计和执行的有效性负责。所以，这就为控制自我评估创造了发展的空间：各部门将自行评估自己的现行控制活动，并将其用书面化的流程文件的形式记录下来。所以，这就为控制自我评估创造了发展的空间：各部门将自行评估自己的现行控制活动，并将其用书面化的流程文件的形式记录下来。这些书面化的内部控制文件，将由外部审计师在年度审计的时候一并审计。这些书面化的内部控制文件，将由外部审计师在年度审计的时候一并审计。2004 Deloitte.高级管理层高级管理层高级管理层营运经理+审计部门营运经理营运经理+审计部门审计部门审计部门审计部门审计部门 决定公司战略目标决定公司战略目标 企业的控制环境企业的控制环境 国际通用的内控框架体系有国际通用的内控框架体系有COSO,CoCo等等 定义各经营活动的总体目标定义各经营活动的总体目标 定义妨碍控制目标达成的风险因素定义妨碍控制目标达成的风险因素 定义与控制目标相对应的控制活动定义与控制目标相对应的控制活动 发现和匹配风险与控制发现和匹配风险与控制 执行初期和实施中的有效性测试执行初期和实施中的有效性测试 做持续的测试做持续的测试 控制的后续追踪控制的后续追踪 准备内部审计报告准备内部审计报告独立审计人员审核董事会审核内控体系的建立过程内控体系的建立过程CSA的价值之所在的价值之所在独立外部审计人员评价独立外部审计人员评价 2004 Deloitte.萨班法案的影响萨班法案的影响接受企业内部控制管理的环境已经要发生重大改变的事实接受企业内部控制管理的环境已经要发生重大改变的事实提高对公司内部控制的认识提高对公司内部控制的认识考虑建立一个内部控制程序所需要的成本，而控制自我评估有助于控制这种成本考虑建立一个内部控制程序所需要的成本，而控制自我评估有助于控制这种成本同时也要认识到内部控制的局限性同时也要认识到内部控制的局限性 2004 Deloitte.课程内容课程内容1 1CSA的诞生和历史沿革CSA的诞生和历史沿革2 2CSA的方法和流程CSA的方法和流程3 3萨宾法案与CSA萨宾法案与CSA4 4案例分析案例分析 国外国外5 5案例分析-国内(宝钢)案例分析-国内(宝钢)6 6提问与交流提问与交流案例分析案例分析 国外国外 2004 Deloitte.案例分析背景资料某财富500强跨国集团案例分析背景资料某财富500强跨国集团 该集团是在美国上市的跨国工业集团，在工业电子，卡车，液压机械等方面有着竞争优势 该集团需要在其多家在亚太区的子公司中实现内部控制的系统性的书面文件，以满足萨班法案的要求 该集团有内部审计部门，但是其人员配备不足；亚太区只有两位内审经理，无法有效帮助辖区内所有子公司建立内部控制的书面文件 鉴于此，该集团采用了控制自我评估为主；审计验证为辅的工作方针；德勤作为其全球的合作方，提供技术和人员支持 2004 Deloitte.项目步骤项目步骤 该公司在德勤的帮助下，制定出标准化的风险控制矩阵。该标准风控矩阵由其美国管理层和其外部审计师安永筛选出重要的关键控制点，以符合成本效益原则 2004 Deloitte.项目步骤(续)项目步骤(续)当地子公司的管理层自行讨论、填写现场的控制活动；并给出作为证据的书面文件，包括流程、制度、批准表格格式、交易记录等。所有的信息通过一个基于互联网的RCTS系统反馈到总部进行审核。该系统中记录了审核人的意见；以及后续改进计划的建议和跟踪进度。集团的内部审计经理挑选出风险最大的领域，到现场进行测试的进一步的访谈了解。2004 Deloitte.课程内容课程内容1 1CSA的诞生和历史沿革CSA的诞生和历史沿革2 2CSA的方法和流程CSA的方法和流程3 3萨宾法案与CSA萨宾法案与CSA4 4案例分析-国外案例分析-国外5 5案例分析-国内(宝钢)案例分析-国内(宝钢)6 6提问与交流提问与交流案例分析案例分析-国内国内(宝钢宝钢)2004 Deloitte.案例分析背景资料宝钢国贸案例分析背景资料宝钢国贸 上海宝钢国际经济贸易有限公司（简称宝钢国际）是于2001年11月13日在原宝钢集团国际经济贸易总公司的基础上以吸收合并的方式，集中宝钢集团与贸易业相关的资产，按公司法有关规定组建而成，是宝钢集团的全资子公司。根据与宝钢国际内部审计部门的交流，该项目工作分为两个阶段：第一阶段是在一个事业部的三家子公司之内开展一次内部控制的自我评估，采用现场讨论会的形式，帮助该事业部自行认识和发现现有的内部控制的不足和由此产生的风险因素，并做出改善计划。第二阶段是在宝钢集团整体上市之后，作为未来在宝钢国际内部全面推行内部控制自我评估这一国际先进理念的试点。在本阶段，作为试点的三家子公司均为贸易型公司，每家子公司的规模在30至50人之间。该项目由内部审计部门牵头、该试点事业部领导为项目负责人，辅以德勤的专业意见和帮助，形成合力共同完成该项工作。该项目在两个月内完成。2004 Deloitte.宝钢内部控制自我评估(CSA)项目的主要流程宝钢内部控制自我评估(CSA)项目的主要流程1122233是德勤介入项目的时点1 2004 Deloitte.12233344项目重点工作内容项目重点工作内容1制定讨论会框架制定讨论会框架。通过对宝钢试点单位相关流程、政策、组织架构、业务内容等了解，共同制定待评估流程的控制目标和主要风险因素的风险控制矩阵；提交贵公司内部审计部和事业部领导层开展讨论并根据讨论意见进行修订。同时，共同完成风控矩阵问卷，并草拟出报告格式框架。2讨论会讨论会。讨论会由宝钢事业部与内部审计部主导开展；德勤作为列席专家，在适当的时候提供关于内控和风险的培训、回答参与人员的问题等。3协助起草报告协助起草报告。基于讨论会的结果宝钢内审部门、事业部和德勤共同起草报告和改善行动计划。报告草案将提交所有参与讨论会的人员进行确认；并根据其确认意见修订报告，正式定稿。该报告的精华是经讨论全体通过的改进措施、改进时间和负责改进人员。2004 Deloitte.报告的主要里程碑及其成果简介报告的主要里程碑及其成果简介 作为项目中的第一个里程碑，我们共同组建了风险控制矩阵，选择了适用的子流程 2004 Deloitte.报告的主要里程碑及其成果简介(续)报告的主要里程碑及其成果简介(续)基于风险控制矩阵共同制定了控制自我评估问卷。试点单位的每一位员工都参与了填写该问卷 2004 Deloitte.报告的主要里程碑及其成果简介(续)报告的主要里程碑及其成果简介(续)针对控制自我评估问卷中回答差异较大的地方，进行补充性访谈；并作为研讨会的大纲重点。研讨会分三个业务单元各自进行，由各自单元的后备干部主持，内审部与德勤列席。讨论现场气氛非常热烈，各种观点在碰撞中妥协，共同提高了认识CSA项目的最终报告的框架由内审部门和德勤草拟，与各单元老总汇报后，确定框架。2.高风险子流程具体问题分析及改进方案1.分子业务流程热力图3.研讨会会议发言精要 2004 Deloitte.参与者的部分反馈参与者的部分反馈“你们的风险控制矩阵我第一次看觉得都是废话，当然都是在平常业务中做的到的，没想到讨论结果和我想的不一样”一位单元老总“我以前从不知道我们这个业务单元还有这个岗位”一位销售业务员“我们企业以前是纵横两条线管理，一直搞不清该报告给谁，这次我算搞明白了”一个业务单元的销售经理“听说美国的萨宾法案要求做内部控制的文件化工作，我一直以为我们宝钢是国有企业，是没可能这么简单做到的，没想到原来内控的文件化还可以这么做”一位开始对CSA就持反对态度的内部审计部高级经理现在：宝钢的内审部门通过该CSA试点项目的成功，在集团内赢得主动的说话权。宝钢集团在明年极有可能全面推行CSA。2004 Deloitte.课程内容课程内容1 1CSA的诞生和历史沿革CSA的诞生和历史沿革2 2CSA的方法和流程CSA的方法和流程3 3萨宾法案与CSA萨宾法案与CSA4 4案例分析-国外案例分析-国外5 5案例分析-国内(宝钢)案例分析-国内(宝钢)6 6提问与交流提问与交流